Co to jest CVE (Common Vulnerabilities and Exposures)?

CVE oznacza Common Vulnerabilities and Exposures. Jest to system, który śledzi znane publicznie podatności w zakresie cyberbezpieczeństwa.

Każdy rekord CVE ma swoje własne ID, takie jak CVE-2024-492881, i opisuje konkretną słabość w oprogramowaniu, sprzęcie lub firmware, którą atakujący mogą wykorzystać do naruszenia systemu.

Program CVE został uruchomiony przez MITRE Corporation, amerykańską organizację non-profit finansowaną przez rząd, skupioną na cyberbezpieczeństwie i technologii. Obecnie MITRE nadal zarządza systemem CVE pod nadzorem Rady CVE — grupy, która obejmuje ekspertów ds. bezpieczeństwa, dostawców i globalnych interesariuszy. Organizacje, dostawcy, narzędzia bezpieczeństwa i badacze na całym świecie używają CVE do śledzenia podatności i zarządzania poprawkami.

Dlaczego CVE jest ważne w cyberbezpieczeństwie

Przed CVE badacze i organizacje polegały na oddzielnych schematach nazewnictwa, co utrudniało śledzenie podatności w różnych narzędziach i raportach.

CVE pomaga rozwiązać ten problem, oferując:

• Spójne identyfikatory dla każdej podatności
• Scentralizowaną widoczność w globalnej bazie danych bezpieczeństwa
• Łatwiejszą współpracę między dostawcami, badaczami i organizacjami zaangażowanymi w cyberbezpieczeństwo.

CVE stanowi podstawę dla narzędzi bezpieczeństwa, takich jak skanery podatności, SCA, ASPM i systemy zarządzania poprawkami, które polegają na identyfikatorach CVE do wykrywania i priorytetyzacji ryzyk.

Jak działa CVE?

Każdy rekord CVE w bazie danych podatności zawiera

• ID CVE - unikalny identyfikator podatności
• Opis - wyjaśnienie podatności
• Referencje - zaufane zewnętrzne źródła, które dostarczają szczegółowych informacji o podatności
• Ocena CVSS - ocena powagi, ocena, która informuje, jak poważna lub wpływowa jest podatność, jeśli zostanie wykorzystana.

Wszystkie CVE są publicznie przechowywane na cve.org, a także są lustrzane w National Vulnerability Database (NVD) utrzymywanej przez NIST (National Institute of Standards and Technology), która jest agencją nieregulacyjną Departamentu Handlu Stanów Zjednoczonych.

Znane vs. Nieznane Podatności

Znane Podatności

Podatności, o których wiedzą organizacje zajmujące się bezpieczeństwem i badacze, i które mogą dostarczyć poprawki do rozwiązania tych podatności.

Znane podatności są często już opublikowane w bazach danych takich jak CVE lub NVD.

Przykład:

CVE-2017-5638 — podatność Apache Struts wykorzystana w naruszeniu Equifax (2017).

Nieznane (Zero-Day) Podatności

Są to nieodkryte lub nieujawnione wady; istnieją w oprogramowaniu, ale nie są jeszcze udokumentowane w bazach danych CVE.

Atakujący mogą je wykorzystać, zanim dostawca wyda poprawkę. Jest to wada bardzo niebezpieczna.

Przykład:

Podatność przeglądarki jest wykorzystywana przez atakujących, zanim Google lub Microsoft wydadzą poprawkę.

Powiązane Terminy

• NVD (National Vulnerability Database)
• CVSS (Common Vulnerability Scoring System)
• Zero-Day Vulnerability
• Exploit
• Patch Management
• Vulnerability Management
• Common Weakness Enumeration (CWE)

FAQ: CVE